나쁜 봇을 막는 방법: WordPress 사용자를 위한 가이드

게시 됨: 2023-04-05

모든 인터넷 트래픽의 절반은 인간 활동이 아니라 봇입니다. 스팸봇, 검색 봇, Twitterbot 및 DDoS 봇은 몇 가지 일반적인 웹 로봇 유형입니다. 그들은 온라인 세상 어디에나 있고 그들 모두가 나쁜 것은 아닙니다. 그러나 그들 중 일부는 나쁘고 나쁜 봇은 성가신 것 이상일 수 있습니다. 그들은 WordPress 사이트의 기능을 방해하고 워크플로 속도를 늦추며 사용자나 고객을 멀어지게 할 수 있습니다.

나쁜 봇이 WordPress 사이트에 간섭하지 못하도록 해야 할 때 일부 접근 방식이 다른 접근 방식보다 더 효과적입니다. 다행스럽게도 WordPress는 봇을 다루는 몇 가지 실용적인 솔루션을 제공합니다.

이 가이드에서는 봇이 무엇인지, 봇이 좋은 이유, 나쁜 봇을 차단하는 방법, WordPress 사이트에 해를 끼치지 않도록 하는 방법에 대해 설명합니다. 취약한 WordPress 사이트가 유치하는 봇을 차단하려면 지금 몇 분만 시간을 내어 이 가이드를 읽으십시오. 결국 WordPress에서 나쁜 봇을 차단하는 데 필요한 답을 얻게 될 것입니다. 한 번 보자.

봇이란 무엇입니까?

이미 알고 계시겠지만 "봇"이라는 용어는 "로봇"의 줄임말입니다. 때때로 사람들은 여기서 논의하는 봇을 "인터넷 봇" 또는 "웹 봇"이라고 합니다. 간단히 말해서 봇은 사람을 위한 독립적인 사용자 에이전트 또는 많은 봇의 작업을 지시하는 더 큰 명령 및 제어 프로그램으로 작동하는 소프트웨어입니다.

좋은 이유와 나쁜 이유 때문에 사람들은 종종 봇을 사용하여 웹을 탐색하고 반복적인 작업을 수행하는 실제 인간의 활동을 시뮬레이션합니다. 봇은 일상적인 작업을 수행하는 데 사람보다 훨씬 빠르므로 사람들은 봇을 사용하여 많은 간단한 작업을 신속하고 대규모로 수행합니다. 일반적으로 모든 인터넷 트래픽의 40-50%는 실제로 웹 페이지와 상호 작용하고, 사람들과 직접 통신하고, 특정 콘텐츠를 검색하거나 기타 기본 작업을 수행하는 봇입니다 .

종종 이러한 봇 기반 작업의 이점을 얻지 못합니다. 당신은 그것들을 원하지 않으며 그것들은 당신에게 도움이 되지 않습니다. 그들은 서버와 에너지 자원의 낭비입니다. 설상가상으로 일부는 악의적이며 이러한 봇은 지속적인 위협을 가합니다.

나쁜 봇을 중지

봇은 정확히 어떻게 작동합니까?

대부분의 경우 봇은 네트워크를 통해 작동합니다. 봇이 서로 통신할 때 IRC(Internet Relay Chat) 또는 소셜 미디어 플랫폼의 다이렉트 메시징 시스템과 같은 다양한 서비스를 사용합니다.

디자이너가 프로그래밍한 작업을 정의하는 다양한 알고리즘 세트에 따라 봇은 사람과 대화하고 인터넷에서 웹 사이트 콘텐츠를 스크랩하는 것부터 무엇이든 할 수 있습니다. 가장 정교한 봇은 Google Duplex와 같이 실제 인간 행동을 모방하려고 시도합니다.

봇 관리

봇을 사용하는 사람과 조직은 일반적으로 웹 앱 보안 플랫폼의 일부인 봇 관리 소프트웨어를 사용합니다. 봇 관리자는 해를 끼칠 수 있는 나쁜 봇을 차단하면서 좋은 봇이 제대로 작동하도록 합니다.

봇 관리자는 의심되거나 알려진 악성 봇을 발견하면 보호하고 있는 웹사이트에서 다른 곳으로 리디렉션합니다. 웹 애플리케이션 방화벽처럼 작동합니다.

봇 관리 소프트웨어의 기본 기능 중 일부는 CAPTCHA(인간 대 봇 감지) 및 하나의 IP 주소에서 올 수 있는 요청 수를 제한하는 IP 속도 제한을 포함합니다.

기능의 일부로 iThemes Security는 CAPTCHA 및 기타 방법을 사용하여 봇 트래픽을 감지하고 차단합니다.

8가지 일반적인 유형의 봇

다양한 종류의 봇이 있으며 각각 고유한 작업과 의제가 있습니다.

가장 일반적인 봇 중 일부는 다음과 같습니다.

  1. 챗봇은 인간의 대화를 시뮬레이션하고 다른 사람이 하듯이 당신과 상호 작용합니다. 최초의 챗봇 중 하나는 전세계 웹인 Eliza보다 앞서 있습니다. Eliza는 더 많은 질문으로 질문에 답하는 Rogerian 심리 치료사처럼 행동하는 프로그램입니다.
    • 규칙 기반 챗봇은 선택할 수 있는 미리 정의된 프롬프트를 제공하여 사람들과 상호 작용합니다. 지적으로 독립적인 챗봇은 기계 학습을 사용하여 사람의 입력을 학습 및 이해하고 알려진 키워드에 응답합니다.
    • AI(인공 지능) 챗봇은 지능적으로 독립적인 봇과 규칙 기반 봇의 특성을 결합합니다. 이 정교한 AI 봇은 자연어 처리, 패턴 일치 및 자연어 생성 도구를 사용하여 매우 현실적인 방식으로 인간의 상호 작용을 복제합니다.
  2. Shopbot은 사용자를 대신하여 인터넷을 스캔합니다. Shopbot의 임무는 사용자가 찾고 있는 모든 제품, 항목 또는 서비스에 대한 최저 비용을 찾는 것입니다. OpenSesame과 같은 봇은 사용자 웹 사이트 탐색 패턴을 관찰하고 각 사용자에 맞게 사이트를 사용자 지정합니다.
  3. 소셜 봇은 Facebook, Twitter 및 기타 소셜 미디어 플랫폼에서 작동합니다.
  4. Knowbot은 이를 제어하는 ​​사람이 정의한 주제에 대한 특정 정보를 수집합니다.
  5. 크롤러 및 스파이더 일명 웹 크롤러 또는 웹 스파이더는 마주칠 수 있는 가장 일반적인 봇입니다. 검색 엔진은 이를 사용하여 웹사이트의 구조와 콘텐츠를 매핑하고 인덱싱합니다.
  6. 웹 스크래핑 크롤러는 데이터를 수집하고 누군가가 찾도록 프로그래밍한 다른 콘텐츠를 추출합니다.
  7. 트랜잭션 봇은 인간이 제어하는 ​​대신 트랜잭션을 완료합니다.
  8. 모니터링 봇은 네트워크 또는 웹사이트의 전반적인 상태를 감시합니다.

이러한 각 범주의 봇은 시스템 테스트, 모니터링 및 보호와 같은 합법적인 목적을 수행합니다. 물론 각 범주에는 악성 봇도 포함될 수 있습니다.

좋은 봇

고객 서비스 봇은 연중무휴 24시간 사용할 수 있습니다. 일반적인 질문에 답하고 기본 지원을 제공하는 것은 봇에게 좋은 방법입니다. 고객 서비스 직원의 부담을 덜어주어 사람과의 상호 작용이 필요한 보다 복잡한 문제에 집중할 수 있습니다.

가상 상담원 또는 가상 담당자라고도 하는 고객 서비스 봇과 대화를 나눈 적이 있을 것입니다. 20여 년 전 "Andrette"와 "Shallow Red"는 고객 서비스 봇의 선구자였습니다. 그들은 제품이나 서비스에 대한 자세한 질문에 답할 수 있는 1세대 봇이었습니다.

오늘날 여러분이 잘 알고 있는 많은 서비스에서 봇을 사용합니다.

  • WhatsApp, Slack 및 Facebook Messenger와 같은 인스턴트 메시징 앱 .
  • The New York Times 와 같은 뉴스 앱 .
  • Lyft와 같은 차량 공유 앱 .
  • Clara 및 Trevor와 같이 AI를 사용하는 스케줄링 어시스턴트 .

이러한 예는 봇이 기술 및 비즈니스에서 사용하는 많은 응용 프로그램의 겉핥기 시작도 하지 않습니다. 안타깝게도 사이버 범죄에서 봇이 수행하는 불법적인 역할이 그만큼 많습니다.

나쁜 봇

사람과 기업에 매우 긍정적인 목적을 제공하는 봇이 있는 반면 해킹과 사이버 범죄를 지원하는 악성 봇도 있습니다. 이러한 악성 봇은 유용한 챗봇과 매우 다릅니다. 우선 챗봇은 문제를 찾아 웹을 자유롭게 돌아다니지 않습니다. 나쁜 봇이 그렇습니다.

가장 일반적인 악성 또는 "나쁜" 봇은 다음과 같습니다.

  • DDoS 또는 DoS 봇은 "봇넷" 또는 "스웜"에서 함께 작동하여 대상 서버의 리소스에 과부하를 일으켜 합법적인 사용자에 대한 서비스 거부(DoS)를 유발합니다. 대부분의 봇넷은 여러 네트워크와 장치에 분산되어 있으므로 공격 벡터는 "분산 서비스 거부"로 더 잘 정의됩니다.
  • 스팸봇은 방문자를 다른 웹사이트로 유도할 의도로 원치 않는 상업성 콘텐츠를 대상 사이트에 삽입합니다.
  • 해커봇은 웹사이트의 인프라를 공격하고 악성코드를 배포합니다.

몇 가지 추가 유형의 악성 봇에는 이메일 수집기, 악성 웹 크롤러, 무차별 대입 암호 크래커, 자격 증명 또는 암호 입력 봇이 포함됩니다.

봇의 장점과 단점

다른 기술 영역과 마찬가지로 봇을 사용하면 합법적인 비즈니스 목표를 가진 사람들에게 몇 가지 긍정적인 이점을 제공할 수 있습니다.

  • 그들은 사람을 사용하지 않고 사람보다 더 빠르게 반복적인 작업을 수행합니다!
  • 봇은 직접적인 일대일 클라이언트 및 고객 상호 작용을 위해 사람의 시간을 절약합니다.
  • 그들은 낮과 밤의 모든 시간에 사용할 수 있습니다.
  • 봇을 사용하면 많은 사람들에게 매우 빠르게 다가갈 수 있습니다.
  • 고객 서비스 UX(사용자 경험)는 봇과 함께 획기적으로 향상됩니다.
  • 기업은 로봇 프로세스 자동화(RPA)를 사용하여 워크플로우를 간소화할 수 있습니다.

반면에,

  • 규칙 기반 봇은 프로그래밍 작업과 기능으로 제한됩니다. AI로 구동되는 챗봇의 유창함과 지능에 비하면 미미합니다.
  • AI 챗봇조차도 종종 사용자 의도를 "오해"하고 사람들을 좌절시킵니다.
  • 범죄자들은 ​​스팸과 사기를 위해 지속적으로 봇을 사용합니다.
  • 해를 입히도록 프로그래밍된 봇은 악의적일 수 있습니다.
  • 사람들이 봇을 "신뢰"하게 만드는 것은 어렵기 때문에 단순한 트랜잭션 경험이 아닌 관계적 경험이 필요한 경우 사용이 제한됩니다.

WordPress에서 나쁜 봇을 어떻게 차단합니까?

악성 봇 트래픽을 중지하는 방법을 배우는 것이 중요합니다. WordPress는 자체적으로 중지할 수 없습니다. 나쁜 봇은 실질적인 위협을 가하며 매일 상당한 피해를 입힙니다. 귀하의 WordPress 사이트는 그들의 목표 중 하나이므로 차단해야 합니다.

WordPress에서 봇 트래픽을 중지하는 방법을 배우는 것은 나쁜 봇이 사이트 소유자인 귀하에게 아무런 혜택 없이 귀하의 WordPress 사이트를 공격하는 봇이라는 것을 이해하는 것으로 시작됩니다.

나쁜 봇은 많은 서버 리소스를 소비합니다. 침입할 방법을 찾기 위해 wp-login 페이지 또는 사이트의 다른 영역을 계속 방문하는 경우 특히 그렇습니다.

이를 차단하면 서버 스트레스를 많이 처리할 필요가 없습니다. 호스팅 비용과 대역폭을 절약할 수 있습니다. 이렇게 하면 사이트 속도가 빨라지고 DDoS 공격을 방지할 수 있습니다.

악성 봇을 차단하는 방법은 다음과 같습니다.

1. 무료 iThemes 보안 플러그인 받기

가장 먼저 할 일은 무료 iThemes 보안 플러그인을 받는 것입니다. iThemes Security는 WordPress 사이트에 추가 보안을 추가하는 WordPress 보안 플러그인입니다.

iThemes Security 플러그인을 사용하면 봇 활동을 포함하여 웹 사이트에서 보안 이벤트를 수집하는 실시간 WordPress 보안 로그를 얻을 수 있습니다.

지금 iThemes 보안 다운로드

iThemes Security와 같은 플러그인을 사용하여 WordPress 보안 로그를 생성하는 것은 여러 수준에서 유용합니다. 보안 로그는 전체 웹사이트 보안 전략에 여러 가지 이점이 있습니다.

로그를 통해 다음을 수행할 수 있습니다.

  1. 악의적인 행동을 식별하고 중지합니다.
  2. 보안 침해를 경고할 수 있는 스팟 활동.
  3. 위반 시 얼마나 많은 피해가 발생했는지 평가합니다.
  4. 해킹된 사이트 복구를 지원합니다.

사이트가 해킹된 경우 빠른 조사 및 복구를 지원하는 최상의 정보가 필요합니다. 해당 정보가 서버 액세스 로그입니다.

2. iThemes Security Pro를 받고 사용자 등록, 비밀번호 재설정, 로그인 및 댓글을 위한 CAPTCHA 선택

지금까지 iThemes Security Pro 플러그인에서 최고의 봇 버스팅 기능은 CAPTCHA 옵션입니다.

WordPress 사이트는 훔치거나 추측한 비밀번호로 로그인 양식에 침입하거나 양식 스팸 및 스팸 댓글을 보내거나 콘텐츠를 스크랩하고 도용하려는 봇의 표적이 됩니다.

다양한 CAPTCHA 공급자 중에서 선택

Cloudflare의 noCAPTCHA Turnstile, Intuition Machines의 hCaptcha 및 Google의 reCAPTCHA는 모두 iThemes Security Pro에서 나쁜 봇이 웹사이트에 들어오지 못하도록 하는 옵션입니다. 이러한 각 CAPTCHA는 합법적인 방문자를 식별하고 로그인, 구매, 페이지 보기 또는 계정 생성을 허용합니다. 이러한 모든 CAPTCHA 서비스는 고급 위험 분석 기술을 사용하여 인간과 봇을 구별하며 때로는 인간이 봇이 아님을 증명하도록 요구하지도 않습니다. (개찰구는 일반적으로 눈에 잘 띄지 않게 작동합니다.)

선택한 CAPTCHA 서비스 사용을 시작하려면 보안 › 설정 아래의 기능 › 잠금 페이지에서 CAPTCHA 기능을 활성화하십시오.

CAPTCHA 키

다음 단계는 사용할 CAPTCHA 유형을 선택하고 이에 대한 키를 생성하는 것입니다. 키를 받으려면 선택한 CAPTCHA 제공업체에 무료 계정을 설정해야 합니다.

참고: Cloudflare의 Turnstile은 현재 가장 덜 방해되고 가장 정교한 CAPTCHA 솔루션입니다. Google reCAPTCHA를 사용하는 경우 Invisible reCAPTCHA 옵션을 사용하는 것이 좋습니다.

noCAPTCHA의 편리함

Cloudflare의 Turnstile과 Google의 Invisible reCAPTCHA의 장점은 일반적으로 사용자 상호작용 없이 웹사이트에서 봇 트래픽을 감지할 수 있다는 것입니다. 눈에 보이는 CAPTCHA 챌린지를 표시하는 대신 브라우저 에이전트 동작을 모니터링하여 완전히 배후에서 사람인지 봇인지 확인합니다.

이제 WordPress 사용자 등록, 비밀번호 재설정, 로그인 및 댓글 화면에서 선택한 CAPTCHA를 활성화하십시오.

마지막으로 수동 CAPTCHA 테스트를 사용할 때 잠금 오류 임계값으로 잠금을 트리거하는 데 필요한 실패한 CAPTCHA 수를 설정합니다. 로그인 화면 및 기타 양식을 조사하는 봇은 반복적으로 테스트에 실패할 가능성이 높으므로 자동으로 잠그는 것이 차단 목록을 강화하는 좋은 방법입니다.

활성화 후 CAPTCHA 플랫폼 배지는 활성화된 모든 페이지의 오른쪽 하단에 표시되어 악성 봇으로부터 보호받고 있음을 알려줍니다.

3. iThemes Security의 로컬 무차별 암호 대입 보호 기능으로 악성 봇 자동 식별 및 차단

iThemes Security의 무료 및 프로 버전 모두 반복적으로 로그인 시도에 실패하거나 "관리자" 사용자 이름을 사용하는 나쁜 봇 및 사용자를 자동으로 금지할 수 있습니다. 이는 무차별 대입 로그인 시도를 하는 봇의 일반적인 동작입니다. Local Brute Force Protection 기능 사용을 시작하려면 iThemes Security Pro 설정 페이지의 기본 페이지에서 활성화하십시오. 구성 › 잠금 › 로컬 무차별 대입 화면에서 이러한 봇을 처리하는 방법을 결정하는 설정을 수정할 수 있습니다.

사이트 사용자에게 허용하는 로그인 시도 횟수를 줄이면 wp-login 페이지에서 잘못된 로그인 기준을 반복적으로 입력한 사용자와 봇을 즉시 잠글 수 있습니다.

iThemes Security Pro Local Brute Force Protection 기능은 호스트 또는 IP 주소 및 사용자 이름에 의한 잘못된 로그인 시도를 추적합니다. IP 또는 사용자 이름이 연속적으로 잘못된 로그인 시도를 너무 많이 하면 잠금 상태가 되고 일정 기간 동안 더 이상 시도할 수 없게 됩니다.

4. iThemes Security의 Network Brute Force Protection으로 악성 봇 자동 식별 및 차단

악성 봇으로부터 사이트를 보호하는 매우 효과적인 방법은 차단 목록을 공유하는 iThemes의 사용자 네트워크를 선택하는 것입니다. 귀하의 사이트에서 차단한 나쁜 봇은 네트워크의 다른 사용자와 공유 및 차단되며 차단 목록을 수신하는 것도 도움이 됩니다. 선택만 하면 되며 추가 조치는 필요하지 않습니다.

5. 불량 봇 목록 수동 식별 및 차단

iThemes Security 대시보드는 무차별 대입 공격 시도 횟수, 차단된 봇 및 사용자 수를 포함하여 중요한 최신 정보를 헤드업 디스플레이로 제공합니다. iThemes Security가 보관하는 로그에 수집된 정보를 시각적으로 표시한 것입니다.

보안 로그에 익숙해지기

보안 › 로그 에서 보안 로그를 관찰하는 데 몇 분이 걸립니다. 아마도 많은 잠금(잘못된 로그인 시도)과 감지된 무차별 대입 로그인 시도를 보게 될 것입니다.

iThemes Security는 눈에 띄는 의심스럽거나 악의적인 요청을 찾습니다. 귀하의 사이트를 반복적으로 방문하는 봇은 인간이 운영하는 정상적인 브라우저 요청처럼 보이지 않습니다. 반복되는 경향이 있습니다. 하나의 IP가 평균 요청 수보다 많은 요청을 하거나 동일한 IP에서 정기적으로 요청이 반복되는 경우(예: 점의 매시간) 이는 봇일 가능성이 큽니다. Google에서 호스트 이름을 검색하고 IP를 조회하여 이에 대해 자세히 알아보고 유해한지 여부를 확인할 수 있습니다.

잠금 시간 늘리기 및 반복 위반자 금지

잠겨 있거나 금지된 호스트 IP의 대부분은 반복적으로 나타납니다. 잠금 및 금지 임계값 설정에서 더 오랜 기간 동안 금지할 수 있습니다.

많은 불량 IP 목록을 영구적으로 금지

또한 iThemes 보안 대시보드에서 금지된 사용자 위젯을 사용하여 많은 IP를 영구적으로 금지할 수 있습니다. 주의하세요. 목록이 너무 크면 서버 속도가 느려질 수 있습니다.

악성 사용자 에이전트의 대규모 목록을 영구적으로 금지

나쁜 사용자 에이전트를 차단하는 것은 알려진 봇을 블랙리스트에 올리는 효과적인 방법입니다. 이것은 또한 iThemes Security의 사용자 금지 기능의 일부입니다.

정기적으로 업데이트되는 공통 소스를 기반으로 악성 봇 목록을 작성하면 많은 시간을 절약할 수 있습니다. Jim Walker의 금지 목록은 이미 iThemes Security에 통합되어 있습니다. Jeff Starr의 4G 불량 봇 블랙리스트와 같은 다른 항목을 추가할 수 있습니다. 현재 불량 사용자 에이전트에 대한 항목은 1200개입니다.
Googlebot과 같은 봇은 합법적이며 차단할 필요가 없습니다. 사실 현재 유용한 봇 목록을 사용하여 허용 목록에 추가할 수 있습니다.

iThemes Security의 새로운 기능: 제로 마찰 및 더 나은 개인 정보 보호 기능으로 봇 차단 — 웨비나 다시 보기 보기:

WordPress에서 나쁜 봇을 차단하면 삶이 더 쉬워집니다.

일정 기간 동안 WordPress 사이트 소유자였던 경우 사이트를 공격하는 나쁜 봇을 거의 확실하게 처리했습니다. 이 eBook에서는 보다 안전한 미래를 준비하기 위한 몇 가지 간단한 조언을 찾을 수 있습니다. 악성 봇 및 기타 보안 기술을 차단하여 웹 사이트를 더 어려운 대상으로 만드는 방법을 알아보세요.

보너스 콘텐츠 받기: WordPress 보안 가이드
PDF 다운로드

WordPress 보안 및 보호를 위한 최고의 WordPress 보안 플러그인

WordPress는 현재 모든 웹사이트의 40% 이상을 지원하므로 악의적인 의도를 가진 해커의 손쉬운 표적이 되었습니다. iThemes Security Pro 플러그인은 WordPress 보안에서 추측을 제거하여 WordPress 웹사이트를 쉽게 보호하고 보호할 수 있도록 합니다. WordPress 사이트를 지속적으로 모니터링하고 보호하는 상근 보안 전문가가 있는 것과 같습니다.

iThemes 보안 프로 받기